Al giorno d'oggi è difficile ignorare gli attacchi ransomware. Secondo il Rapporto sui Crimini Internet dell'FBI, nel 2020 le denunce locali di tali minacce sono aumentate del 20%. A livello globale, tra il 2019 e il 2020 gli attacchi sono cresciuti di oltre il 60%. Non solo gli attacchi ransomware stanno aumentando, ma stanno anche diventando più evidenti.
Non lasciate che il ransomware si impossessi del vostro dispositivo
Assicurati che il tuo dispositivo sia protetto dal ransomware.
Prova Malwarebytes Premium gratis per 14 giorni.
Dagli oleodotti agli ospedali, alle scuole, banche e associazioni di beneficenza, sembra che nessuna organizzazione sia immune agli attacchi ransomware. Non sono solo le grandi aziende a soffrire di queste violazioni di sicurezza informatica. Anche le piccole imprese sono bersaglio del ransomware e possono avere più difficoltà a sopravvivere, poiché di solito hanno meno risorse per riprendersi rispetto alle aziende più grandi.
Sebbene l'attacco globale WannaCry sia avvenuto nel 2017, molti altri tipi di ransomware sono emersi negli anni successivi. Diamo un'occhiata a WannaCry e al perché è stato un incidente cibernetico così significativo.
Cosa è stato l'attacco ransomware WannaCry?
"Ooops, i tuoi file sono stati criptati!"
Nel maggio 2017, il ransomware WannaCry si è diffuso globalmente attraverso i computer che eseguono Windows. Quasi due mesi prima, Microsoft aveva rilasciato una patch di sicurezza per EternalBlue, l'exploit che gli attaccanti hanno usato per propagare il ransomware WannaCry. Tuttavia, molti utenti di Windows in tutto il mondo non avevano aggiornato il loro software o utilizzavano versioni obsolete di Windows, e quindi sono stati vulnerabili all'attacco su larga scala.
Gli attaccanti di WannaCry hanno criptato i computer Windows in tutto il mondo e hanno richiesto inizialmente un riscatto di 300 dollari in Bitcoin, poi 600 dollari. Ha infettato circa 230.000 computer in 150 paesi in poche ore. Dopo essersi diffuso rapidamente in tutto il mondo, il ricercatore di sicurezza Marcus Hutchins ha scoperto un interruttore di spegnimento che ha notevolmente rallentato la diffusione dell'attacco.
Mappa del calore delle infezioni da Ransomware WannaCry
Perché WannaCry ha avuto tanto successo?
Il ransomware come WannaCry funziona tipicamente crittografando i tuoi file o bloccando il tuo sistema. Richiede quindi un pagamento sotto forma di criptovaluta come Bitcoin poiché tali valute sono più difficili da tracciare rispetto ai trasferimenti di denaro elettronico, assegni o contanti. Tuttavia, WannaCry ha alcune caratteristiche che lo rendono diverso da un tipico attacco ransomware di cui leggi oggi.
I cybercriminali di solito usano ceppi puri di ransomware per attacchi mirati. Pensalo come un arco e una freccia invece di una catapulta. Il primo è migliore per colpire un bersaglio alla volta, mentre la seconda è più adatta per colpire più bersagli. Ad esempio, il malware e la banda criminale dietro l'attacco ransomware al Colonial Pipeline sembrano essersi concentrati su un solo obiettivo. Per piantare il ransomware DarkSide, la banda sembra aver approfittato di una password conosciuta per un account VPN obsoleto.
D'altro canto, WannaCry era più una catapulta. Ha tenuto fede al suo nome infettando centinaia di migliaia di computer in oltre 150 paesi in sole poche ore. Non ha fatto prigionieri, colpendo rapidamente tutti i tipi di sistemi attraverso le reti aziendali. Allora, perché la diffusione del ransomworm WannaCry è stata così ampia e di successo?
1. Componente Worm
Un worm è un tipo di malware che può eliminare file, consumare larghezza di banda e diffondersi rapidamente senza aver bisogno di un file ospite. Si autopropaga, il che significa che, a differenza di un virus, non necessita di attivazione umana per iniziare la sua attività dannosa. Inoltre, i worm possono rilasciare malware come il ransomware. WannaCry ha colpito i PC Windows come un incendio grazie al suo componente worm.
2. Exploit
Un exploit è una vulnerabilità di sistema non risolta di cui un criminale informatico può approfittare per attività dannose. Il difetto che WannaCry sfrutta riguarda la gestione del protocollo SMB (Server Message Block) da parte di Windows. In poche parole, il protocollo SMB permette ai nodi della rete di comunicare. Sebbene Microsoft abbia risolto le vulnerabilità nel 2017, gli attori delle minacce usano le vulnerabilità SMB ancora oggi per attacchi con trojan e ransomware, poiché molti utenti Windows non scaricano gli aggiornamenti.
Quali settori sono stati maggiormente colpiti da WannaCry?
L'attacco WannaCry si è diffuso così rapidamente e ha infettato così tanti computer in tutto il mondo che molte industrie sono state colpite. Tra queste:
- Assistenza sanitaria
- Emergenza
- Sicurezza
- Logistica
- Telecomunicazioni
- Gas
- Petrolio
- Automobilistica
- Istruzione
- Pubblicità
Quanti computer ha infettato WannaCry?
WannaCry ha colpito circa 230.000 computer. Il malware ha influenzato le operazioni di ospedali, servizi di emergenza, stazioni di servizio e perfino fabbriche. Alcune stime attribuiscono il costo finanziario dell'attacco a miliardi.
Chi ha creato WannaCry?
Gli Stati Uniti incolpano ufficialmente la Corea del Nord per l'attacco WannaCry e hanno anche incriminato tre nordcoreani per il malware e per l'hack del 2014 alla Sony Pictures Entertainment. Curiosamente, anche la NSA (National Security Agency) potrebbe aver giocato un ruolo nell'attacco WannaCry, sebbene inavvertitamente.
Si dice che l'NSA abbia scoperto la vulnerabilità SMB che WannaCry sfrutta. Successivamente, questo cosiddetto strumento di sfruttamento EternalBlue sarebbe stato rubato dall'organizzazione di intelligence e divulgato dai The Shadow Brokers (TSB), un gruppo di hacker.
WannaCry è ancora una minaccia?
WannaCry è meno di una minaccia in gran parte grazie agli atti eroici di Marcus Hutchins. Il ricercatore di sicurezza informatica britannico ha sviluppato un interruttore di spegnimento utilizzando l'ingegneria inversa e honeypot che ha impedito a WannaCry di eseguire ulteriormente. Inoltre, un team di ricercatori francesi ha trovato un modo per decrittografare alcuni computer colpiti senza pagare un riscatto.
Tuttavia, WannaCry è ancora attivo. Assicurati di aggiornare regolarmente il sistema operativo Windows per avere le patch di sicurezza più recenti. Puoi inoltre affidarti alla tecnologia intelligente anti-malware di Malwarebytes per rilevare e rimuovere in modo proattivo Ransom.WannaCrypt.
Cosa fa WannaCry se non si paga?
WannaCry richiede 300 dollari in Bitcoin dopo aver bloccato un sistema. Successivamente, raddoppia la richiesta di riscatto. Minaccia anche di cancellare i tuoi dati permanentemente entro tre giorni. Qui a Malwarebytes, consigliamo di non pagare i gruppi di ransomware, in parte perché incoraggia più bande di ransomware a cercare una via facile per arricchirsi. Inoltre, non c'è garanzia che si riuscirà a sbloccare i propri file o il computer. Per esempio, non tutte le vittime di WannaCry hanno recuperato i loro file dopo aver pagato, forse a causa di un difetto nel ransomware stesso.
Quali sono alcune buone strategie di mitigazione del ransomware?
Per i dispositivi che usi a casa, utilizza software antivirus/antimalware che difende da tutti i tipi di software dannoso, inclusa la protezione ransomware. Per le aziende, le strategie per mitigare il ransomware includono:
- Usa software di cybersecurity in grado di rilevare e bloccare le minacce ransomware.
- Esegui il backup dei tuoi dati frequentemente e air gap i tuoi backup critici.
- Segmenta la tua rete.
- Chiudi le exploit controllando regolarmente gli aggiornamenti di sicurezza.
- Fai attenzione ai vettori di minaccia ransomware come le e-mail di phishing.
- Imposta password complesse e cambiale periodicamente.
- Proteggi il tuo sistema e i conti essenziali con l'autenticazione a due fattori.
Malwarebytes anti-ransomware per aziende
Malwarebytes Endpoint Detection and Response offre opzioni di risposta oltre ai semplici avvisi, inclusi il Remediation del Motore di Collegamento proprietario e il Ransomware Rollback.
Articoli su WannaCry da Malwarebytes Labs
- Microsoft distribuisce una patch per prevenire la vulnerabilità di livello 'WannaCry'
- I file delle minacce avanzate persistenti: Gruppo Lazarus
- Come gli attori delle minacce sfruttano le vulnerabilità SMB
- Tutta questa storia di EternalPetya mi fa venire in mente WannaCry.
- Minaccia mobile del lunedì: Falso scanner WannaCry
- Vuoi decriptare i tuoi file? La soluzione WannaCry, per alcuni
- Come si è diffuso il ransomworm WannaCry?
- Vuoi piangere ancora? Edizione speciale sui ransomware
- Il worm che diffonde WanaCrypt0r